Azure Disk Encryption für Windows (Microsoft.Azure.Security.AzureDiskEncryption)Azure Disk Encryption for Windows (Microsoft.Azure.Security.AzureDiskEncryption)

ÜbersichtOverview

Azure Disk Encryption nutzt BitLocker, um auf virtuellen Azure-Computern unter Windows eine vollständige Datenträgerverschlüsselung bereitzustellen.Azure Disk Encryption leverages BitLocker to provide full disk encryption on Azure virtual machines running Windows. Diese Lösung ist in Azure Key Vault integriert, um die Verschlüsselungsschlüssel und Geheimnisse für die Datenträgerverschlüsselung in Ihrem Key Vault-Abonnement zu verwalten.This solution is integrated with Azure Key Vault to manage disk encryption keys and secrets in your key vault subscription.

VoraussetzungenPrerequisites

Eine vollständige Liste mit den Voraussetzungen finden Sie unter Azure Disk Encryption für virtuelle Windows-Computer. Achten Sie besonders auf die folgenden Abschnitte:For a full list of prerequisites, see Azure Disk Encryption for Windows VMs, specifically the following sections:

ErweiterungsschemaExtension Schema

Es gibt zwei Versionen des Erweiterungsschemas für Azure Disk Encryption (ADE):There are two versions of extension schema for Azure Disk Encryption (ADE):

  • v2.2: Ein neueres empfohlenes Schema, das keine AAD-Eigenschaften (Azure Active Directory) verwendet.v2.2 - A newer recommended schema that does not use Azure Active Directory (AAD) properties.
  • v1.1: Ein älteres Schema, für das AAD-Eigenschaften (Azure Active Directory) erforderlich sind.v1.1 - An older schema that requires Azure Active Directory (AAD) properties.

Zum Auswählen eines Zielschemas muss die Eigenschaft typeHandlerVersion auf die gewünschte Schemaversion festgelegt werden.To select a target schema, the typeHandlerVersion property must be set equal to version of schema you want to use.

Das v2.2-Schema wird für alle neuen virtuellen Computer empfohlen und erfordert keine Azure Active Directory-Eigenschaften.The v2.2 schema is recommended for all new VMs and does not require Azure Active Directory properties.

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "AzureDiskEncryption",
        "typeHandlerVersion": "2.2",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "EncryptionOperation": "[encryptionOperation]",
          "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
          "KeyVaultURL": "[keyVaultURL]",
          "KeyVaultResourceId": "[keyVaultResourceID]",
          "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
          "KekVaultResourceId": "[kekVaultResourceID]",
          "SequenceVersion": "sequenceVersion]",
          "VolumeType": "[volumeType]"
        }
  }
}

Schema v1.1: mit AADSchema v1.1: with AAD

Das 1.1-Schema erfordert aadClientID und entweder aadClientSecret oder AADClientCertificate und wird für neue virtuelle Computer nicht empfohlen.The 1.1 schema requires aadClientID and either aadClientSecret or AADClientCertificate and is not recommended for new VMs.

Verwenden von aadClientSecret:Using aadClientSecret:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientSecret": "[aadClientSecret]"
    },    
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryption",
    "typeHandlerVersion": "1.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyVaultURL": "[keyVaultURL]",
      "KeyVaultResourceId": "[keyVaultResourceID]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KekVaultResourceId": "[kekVaultResourceID]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

Verwenden von AADClientCertificate:Using AADClientCertificate:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientCertificate": "[aadClientCertificate]"
    },    
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryption",
    "typeHandlerVersion": "1.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyVaultURL": "[keyVaultURL]",
      "KeyVaultResourceId": "[keyVaultResourceID]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KekVaultResourceId": "[kekVaultResourceID]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

EigenschaftswerteProperty values

NameName Wert/BeispielValue / Example DatentypData Type
apiVersionapiVersion 01.07.20192019-07-01 datedate
publisherpublisher Microsoft.Azure.SecurityMicrosoft.Azure.Security Zeichenfolgestring
typetype AzureDiskEncryptionAzureDiskEncryption Zeichenfolgestring
typeHandlerVersiontypeHandlerVersion 2.2, 1.12.2, 1.1 Zeichenfolgestring
(1.1-Schema) AADClientID(1.1 schema) AADClientID xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx guidguid
(1.1-Schema) AADClientSecret(1.1 schema) AADClientSecret passwordpassword Zeichenfolgestring
(1.1-Schema) AADClientCertificate(1.1 schema) AADClientCertificate thumbprintthumbprint Zeichenfolgestring
EncryptionOperationEncryptionOperation EnableEncryptionEnableEncryption Zeichenfolgestring
(optional – Standard-RSA-OAEP) KeyEncryptionAlgorithm(optional - default RSA-OAEP ) KeyEncryptionAlgorithm 'RSA-OAEP', 'RSA-OAEP-256', 'RSA1_5''RSA-OAEP', 'RSA-OAEP-256', 'RSA1_5' Zeichenfolgestring
KeyVaultURLKeyVaultURL urlurl Zeichenfolgestring
KeyVaultResourceIdKeyVaultResourceId urlurl Zeichenfolgestring
(optional) KeyEncryptionKeyURL(optional) KeyEncryptionKeyURL urlurl Zeichenfolgestring
(optional) KekVaultResourceId(optional) KekVaultResourceId urlurl Zeichenfolgestring
(optional) SequenceVersion(optional) SequenceVersion uniqueidentifieruniqueidentifier Zeichenfolgestring
VolumeTypeVolumeType Betriebssystem, Daten, alleOS, Data, All Zeichenfolgestring

Bereitstellung von VorlagenTemplate deployment

Ein Beispiel für eine auf der Schemaversion 2.2 basierende Vorlagenbereitstellung finden Sie in der Azure-Schnellstartvorlage 201-encrypt-running-windows-vm-without-aad.For an example of template deployment based on schema v2.2, see Azure QuickStart Template 201-encrypt-running-windows-vm-without-aad.

Ein Beispiel für eine auf der Schemaversion 1.1 basierende Vorlagenbereitstellung finden Sie in der Azure-Schnellstartvorlage 201-encrypt-running-windows-vm.For an example of template deployment based on schema v1.1, see Azure QuickStart Template 201-encrypt-running-windows-vm.

Hinweis

Wenn der Parameter VolumeType auf „All“ festgelegt ist, werden Datenträger nur dann verschlüsselt, wenn sie ordnungsgemäß formatiert sind.Also if VolumeType parameter is set to All, data disks will be encrypted only if they are properly formatted.

Problembehandlung und SupportTroubleshoot and support

ProblembehandlungTroubleshoot

Informationen zur Problembehandlung finden Sie unter Leitfaden zur Azure Disk Encryption-Problembehandlung.For troubleshooting, refer to the Azure Disk Encryption troubleshooting guide.

SupportSupport

Sollten Sie beim Lesen dieses Artikels feststellen, dass Sie weitere Hilfe benötigen, können Sie sich über das MSDN Azure-Forum oder über das Stack Overflow-Forum mit Azure-Experten in Verbindung setzen.If you need more help at any point in this article, you can contact the Azure experts on the MSDN Azure and Stack Overflow forums.

Alternativ dazu haben Sie die Möglichkeit, einen Azure-Supportfall zu erstellen.Alternatively, you can file an Azure support incident. Navigieren Sie zum Azure-Support, und wählen Sie „Support erhalten“ aus.Go to Azure support and select Get support. Informationen zur Nutzung von Azure-Support finden Sie unter Microsoft Azure-Support-FAQ.For information about using Azure Support, read the Microsoft Azure Support FAQ.

Nächste SchritteNext steps